您必須在不破壞已安裝分區的情況下旋轉LUKS密鑰

LUKS是Linux磁盤加密。首次使用LUKS加密分區時(或在操作系統安裝期間選擇加密磁盤選項時)，必須指定打開LUKS分區時將使用的密碼。但是，在此之后，您可以根據需要多次安裝和卸載分區，而無需輸入密碼，直到系統重新啟動。設想以下兩種情況：出于安全合規的目的，您需要頻繁更改LUKS加密密碼。在這種情況下，您必須在不破壞已安裝分區的情況下旋轉LUKS密鑰。

你忘了你的LUKS密碼。或者，您從某人那里繼承了一個帶有由LUKS加密的掛載分區的系統。您沒有LUKS密碼。當你重新啟動系統時，你會有麻煩，因為你沒有LUKS鑰匙。

在本教程中，我們將討論您需要了解的關于LUKS密鑰管理的所有信息。

1.八個LUKS鑰匙槽

在LUKS，一個加密分區可以有八個不同的密鑰。您可以選擇在一個分區上只有一個鍵，也可以分配所有八個不同的鍵。

八個不同密鑰中的任何一個都可以用來打開加密分區。

這些密鑰存儲在分區的LUKS密鑰槽中。因此，一個分區將有8個鍵槽。

要查看所有密鑰槽，請使用cryptsetup luksDump，如下所示。在本例中，它僅使用兩個插槽。

頂部：

/dev/sdb1是LUKS加密分區。

密鑰槽號從0開始。因為我們有8個插槽，所以關鍵插槽號從0到7開始。

“已啟用”表示已為該特定插槽分配了一個密鑰。

這里，我們有兩個LUKS鑰匙槽。因此，/dev/sdb1 LUKS加密分區被分配了兩個密鑰。

2.添加新的LUKS密鑰

要向/dev/sdb1 LUKS加密分區添加新的LUKS密碼(LUKS密鑰)，請使用如下所示的cryptsetup luksAddKey命令。

頂部：

輸入現有密碼后，您可以分配新的LUKS密鑰。

當顯示“輸入任何密碼：”時，您應該輸入/dev/sdb1的任何現有密碼。正如我們在上面看到的，它已經有了兩個來自插槽0和插槽1的密碼。您應該首先輸入這些密碼中的任何一個。

每當您添加新的LUKS密鑰時，它都會被添加到下一個可用的插槽中。由于我們已經有了兩個現有的密鑰，我們將新的密鑰添加到插槽2，這是下一個可用的插槽。

因此，插槽0至2將顯示“已啟用”。/dev/sdba1上有三把LUKS鑰匙。

3.向特定插槽添加新的LUKS密鑰

您也可以向特定插槽添加新密鑰，而不是LUKS向下一個可用插槽添加新密鑰。

在本例中，我們向插槽5添加了一個新的LUKS密鑰。我將新密碼指定為密碼5。為此，請使用cryptsetup luksAddKey中的-s選項，如下所示。

4.刪除現有的LUKS密鑰

要從LUKS分區中刪除現有密鑰，請使用如下所示的cryptsetup luksRemoveKey。

從插槽中刪除/擦除/刪除LUKS密鑰。您不需要指定插槽號。而是指定要刪除的密鑰！

在本例中，您只需輸入要刪除的密碼(密鑰)。

在本例中，當系統提示“輸入要刪除的LUKS密碼：”時，我輸入了上例中創建的密鑰：PasswordforSlot5

5.使用LUKSKillSlot刪除luks密鑰

如果您沒有特定插槽的密鑰，只是想刪除它，您可以使用cryptsetup luksKillSlot命令來執行此操作，如下所示。

在本例中，我們將從LUKS插槽2中刪除密鑰。

為此，您必須為任何插槽輸入LUKS密鑰。這只是從插槽2中刪除密鑰之前的身份驗證。

6.從文件中添加新的LUKS密鑰

您也可以基于現有密鑰文件添加新的LUKS密鑰，如下所示。

7.重置遺忘的LUKS鑰匙-獲取現有鑰匙

如果因為忘記了LUKS密碼而重新啟動服務器，但是無法掛載加密的LUKS分區，那么你就倒霉了，可以重置它。

但是，如果加密的LUKS分區已經打開，系統沒有重新啟動，并且安裝的分區的LUKS密碼已經忘記(至少LUKS自上次重新啟動以來已經打開過一次)，則可以分配新的LUKS密鑰。

在這個“忘記我的LUKS密碼”方案中，您可以執行以下兩個步驟：

從LUKS分區提取當前加密密鑰

使用上面提取的加密密鑰創建新的LUKS密鑰

在這個例子中，我安裝了/home1分區，這是一個LUKS加密分區，但是我沒有密碼。